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Die fdgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

Prufungsantrag gem. § 44 PatG ist gestellt 

@ System fiir ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Suchen und Abrufen 
von Daten 

(g) Wenn ein elektrcMiisches Dokument zur Revision durch 
andere Stellen verfugbar gemacht wird, ist es ofl vorteil- 
haft, das Dokument in einem von einer dritten Partei ver- 
walteten Archiv oder einer von einer dritten Partei verwal- 
teten Datenbank zu sperchern. Es wird ein System zur Ver- 
fugung gestellt, in dem die Stellen, die vom Urheber ei- 
nes Dokuments die Berechtigung zum Zugriff auf dieses 
Dokument im Datenarchiv erhalten haben, sicher nach 
dem im Archiv einer dritten Partei aufbewahrten Doku- 
ment suchen konnen, ohne dass sie darauf vertrauen 
mussen, dass der Verwalter des Archiv sichere Informati- 
on uber ihre Zugriffsrechte liefert. Der Dokumenturheber, 
der Archiwerwalter und atle Stellen, die Zugriffsrechte 
auf Daten im Archiv besitzen, haben Tresorumgebungen, 
> die sichere Erweiterungen ihrer betreffenden Arbettsbe- 
■ reiche sind. Der Tresor des Dokumenturhebers verwaltet 
• fur jedes im Archiv deponierte Dokument eine Zugriffs- 
kontroll-Liste (ACL). Der Tresor jeder Stelle. die Zugriffs- 
rechte auf Dokumente im Archiv besitzt, verwaltet eine 
Fahigkeitsliste der Zugriffsrechte der betreffenden Stelle 
auf alle im Archiv gespeicherten Dokumente. Die Stelle 
selber bewahrt auf ihrem etgenen Arbeitsplatz einen Be- 
weis der neuesten Version ihrer Fahigkeitsliste auf. Wenn 
die ACL fur ein Dokument im Tresor des Dokumenturhe- 
bers aktualtsiert wird, stellt der Tresor des Urhebersfest, 
welche Stellen von der Anderung betroffen sind, und 
ubertragt die Anderungen an die Tresore der betroffenen 
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Beschreibung 

Gegenstand der Erfindung 

Die vorliegende EHihdung betrifft das Gebiei der elektro- 
nischen Datenspeicherung und liefeit speziell ein sicheres 
Datenarchiv- und -austauschsystem, das von einer dritten 
Paitei, die die Funktion eines Verwalters ausiibt, verwaltet 
wird, und in dem eine Zugriffskontrolle beim Suchen und 
Abrufen von Daten erzwungen wird. 

Hintetgrund der Erfindung 

Neuere parallele Fortschritte in der Netzwerkkommuni- 
kalion und der PKI-Technologie (public key infraslruclure - 
Infrastniklur offenllicher Schlussel) haben bewirkt, dass 
Unlemehmen und Instituiionen beginnen, eleku-onische Do- 
kumenlation zur Aufzeichnung und fur Transaktionen jegli- 
cher Art einzuselzen. Mil Verbesserungen bei der Inlegriiat 
und Sicheiheit der UberUragung kann zuversichilich davon 
ausgegangen werden, dass Dokumente, die elektronisch 
iiber das Iniemel und andere offene Neizwerke gesendel 
werden, intakt und unverfalscht ankommen. Datenbankver- 
waltungssysteme, die mil modemen Computerspeichern mil 
einer KapazitSt vcmi mehreren Gigabyte gekoppelt sind» ha- 
ben es Untemehmen und Instilutionen ermoglicht, auf die 
Aufbewahrung von Dokumenten in Papierform zu verzich- 
ten, deren Masse Immobilienkosten verursacht. 

Typischerweise iniissen Daten, die v<mi einer Stella siaiu- 
men, aus verschiedenen Griinden an eine andeie ubertragen 
werden, z. B. zur Aufbewahrung, zur Priifung usw. Die Da- 
lenelemente konnten in Form unstnikturierter Dokumenlda- 
teien oder strukturierler Daiensatze vorliegen wie z. B. 
Konlo- und andere Finanzinformalionen. Im Beispiel un- 
suuklurierter Daten kann es notwendig sein, ein Dokumeni 
zum Zweck der IMifung vom Ursprungssyslem an andere 
Computer im gleichen System oder an Computer auf ande- 
ren Systemen zu schicken. Dies konnte gleichermaBen in ei- 
ner Geschaftssiluation (z. B. einem Vorschlag fiir ein Joint 
Venture oder einer komplexen Angebotsausschreibung) wie 
auch in einer Institution (z. B. wenn eine Dissertation von 
akademischen Beratern uberpriift wird, bevor sie einer Prii- 
fungskommission vorgelegt wird) vorkoimnen. Das Doku- 
meni isl elektronisch erstelll worden, da auf diese Weise 
Uberarbeitungen und Einfugungen (speziell wenn sie um- 
fangreich sind) leicht eingearbeitet werden konnen, obne 
dass jedesmal das gesamie Dokuinent neu getippt werden 
inuB. 

Wenn das Dokument in elektronischer Form vorliegt, 
kann es auch leichter uberpriift werden, weii es in dieser 
Form leichter zu ubertragen ist. Vorgesehene Belrachier 
konnen festsiellcn, dass ein Dokuinent verfiigbar ist, indem 
sie das System durchsuchen, nacbdem ihnen der Zugriff auf 
den Speicherort des Dokumenis gewahrt worden ist. 

Es gibt mehrere Griinde, z. B. Sicherheil, Datenintegritat 
und System- oder Netzwerkverfiigbarkeit, weshalb der Do- 
kumenlurheber cin Dokumeni nicht lokal speichem will, 
wenn dies bedeutet, dass hinter der Firewall Dritten Zugriff 
gewahrt wird. Diese Griinde werden in unserer gleichzeilig 
eingereichten Patentanmeldung mit dem Tiiel "System for 
Electronic Repository of Data Enforcing Access Control on 
Data Reuieval'* (IBM Docket No. CA998-030), das gemein- 
sam ubenragen wurde und hiermit durch Bezugnahme des 
vorliegenden Dokumenis isl, ausfuhrlicher beschrieben. 

Unsere gleichzeilig eingereichte Anmeldung beuilfi ein 
System, in dem die Integrital der und der Zugriff auf die in 
einem Archiv gespeicherten Daten unabhangig von Aktio> 
nen der als Verwalt^ des Archivs agierenden dritten Partei 



verwahei wird. 

Die in der genannten Anmeldung beschriebene Erfindung 
ist bei Systemen mit einer groBen Anzahl von Dokumenten, 
die fiir eine groBe Anzahl von Benutzem zuganghch sind, 

5 sehr effizient, da die Information iiber den autorisierten Zu- 
griff auf die Dokumenie an einer einzigen, zentralen Stelle 
gespeichert werden, und zwar im Archiv selber. Benutzer 
erhalten durch systemexteme Mittel sichere Kenntnis ihres 
Zugriffs auf Dokumenie. 

10 Die vorliegende Erfindung ist eine Abwandlung, in der 
das System selber die Information uber den autorisierten 
Zugriff enthah, die auch sicher vor Akiionen der als Verwal- 
ter des Archivs agierenden dritten Partei ist. 

15 Kurzbeschreibung der Erfindung 

Es isl deshaJb eine Aufgabe der vorliegenden Erfindung, 
ein System zur eleku-onischen Speicherung und zum eiek- 
Ironischen Austausch von Dokumenten zur Verfiigung zu 

20 slellen, in dem die Dokumenie physisch in einem von einer 
dritten Partei verwalieten Archiv. gespeichert werden, in 
dem die Benutzer aber suchen konnen, um festzustellen, auf 
welche Dokumenie im Archiv sie zugreifen konnen. 

Eine weitere Aufgabe der Erfindung beslehi darin, ein Sy- 

2S stem zur Verfiigung zu stellen, in dem die Integrital der im 
Archiv gespeicherten Informationen iiber autorisierte Zu- 
griffe im System verfiigbar, aber nicht von Aktionen der 
dritten Partei, die das Archiv verwaltet, abhangig ist. 
In einem Aspekl hal die vorliegende Erfindung also ein si- 

30 cheres System zum Suchen elektronischer Datendaleien in 
einem Datenarchiv zum Ziel. Das System bestehl aus einer 
Kommunikationsumgebung, in der ein erstes Agenienpro- 
gramm fiir einen Computer, der eine elektroniscbe Datenda- 
tei im Dalenarchivsysiem deponiert, und ein zweiles Agen- 

35 lenprogramm fiir einen erslen Benutzercomputer mit Zu- 
griffsrechi auf die eleku^onische Dalendatei vorhanden ist. 
In einer Nachweisliste fiir die elektronische Dalendatei sind 
ZugrifTskonUoUen fiir die elektronische Dalendatei aufge- 
fiihrt. Die Nachweisliste isl fiir ein erstes Agentenprogramm 

40 zuganglich und wird von diesem verwaliet. Der ersle Benut- 
zercomputer besitzl eine Aufzeichnung seiner ZugrifTs- 
rechie auf die elektronische Dalendatei, die fiir das zweiie 
Agenlenprogramm zuganglich isl und von diesem verwallel 
wird. Wenn an der Nachweisliste Anderungen vorgenom- 

45 men werden, die die Zugriffsrechle des erslen Computers 
auf die elektronische Datendatei betreffen, werden diese 
Anderungen vom ersten Agentenprogramm an das zweite 
Agentenprogramm ubertragen, so dass die Aufzeichnung 
des erslen Benutzercomputers iiber seine Zugriffsrechle ak- 

50 tualisiert werden kann. Das erste Agentenprogramm isl auch 
in der l^age, die ZAigrifTsrcchtc des erslen Benutzercompu- 
ters auf die elektronische Datendatei zu priifen, bevor die 
elektronische Datendatei fiir das zweite Agentenprogramm 
freigegeben wird. 

55 In einem weiteren Aspekl bictei die Erfindung ein Vcrfah- 
ren fur eine sichere elektronische Datensuche in einem elek- 
tronischen Daienarchiv in einem System mit einer Nach- 
weisliste, in der Zugriffsrechle auf die elektronische Daten- 
datei im Datenarchiv aufgefiihrt sind, und einer Aufzeich- 

60 nung, in der Dokumenizugriffsrechte fiir jeden Computer 
mil Zugriff auf die im Archiv gespeicherten elekironischen 
Daten aufgefiihrl sind. Das Verfahren bestehl aus der Aktua- 
lisienmg einer Nachweislisie fiir eine im Archiv gespei- 
chene eleku^onische Datendatei, der Ideniitikaiion aller von 

65 der Akiualisierung belroffenen Computer mil geandertem 
Zugriffsrechl auf die elektronische Daiendalei, die Uberu^- 
gung der Anderung des Zugriffsrechts an aUe belroffenen 
Computer, die Aktualisierung der Zugriffa-echt-Aufzeich- 
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nungen aller betroffenen Compuier und die Ubertragung der 
aktualisierten Zugriffsrecht-Aufzeichnungen an die betrof- 
fenen Computer. 

In einem weiteren Aspekt bietet die Erfindung ein siche- 
res System zum Suchen in einem Datenarchivsystem ge- 
speicherlcr elektronischer Daten, das Mine] besttzt, um ei- 
nen Nachweis zu fiihren, in dem ZugrifTskontrollen fur jede 
im Archiv gespeicherte elektronUche Datendatei aufgefiihrt 
sind, und auBeidem Mittel, um den Zugriff auf jeden Nach- 
weis auf einen Computer mit Deponierungsrecht zu be- 
schranken, Miitei, uni eine Aufzeichnung zu fuhren, in der 
Zugriffsrechte auf die elektronischen Datendateien fiir jeden 
Computer mit Zugriffsrecht auf mindestens eine elektroni- 
sche Datendatei im Datenarchiv aufgefiihrt sind, und Mittel 
zum Aktualisieren der Aufzeichnung fur jeden Computer, 
der von einer ZugrifTsrechianderung in einem Nachweis be- 
IrofTen ist. 

In der Erfindung werden auch Datentrager bereitgestellt, 
die mil Programmcode zur Realisierung des oben beschrie- 
benen Systems oder Verfahrens codiert sind. 

Kurzbeschreibung der Zeichnungen 

Im folgenden werden Ausfiihrungsbeispiele der Erfin- 
dung ausfiihrlich in Verbindung mit den beigefugten Zdch- 
nungen beschrieben. Die Zeichnungen haben folgenden In- 
halt: 

Fig. ] ist eine Schemazeichnung von einem Dokumentar- 
chivsystem, das von einer driiten Pariei verwaltel wird. 

Fig. 2 ist eine Schemazeichnung, ahnlich wie Fig. 1, in 
der ein Tresor-Dokumentarchivsystem dargestellt isl, das in 
der bevorzugten Ausfiihrungsform der vorliegenden Erfin- 
dung verwendel wird. 

Fig. 3 isl ein FluBdiagrainm des Dokumentersiellungsver- 
fahrens gemafi der Erfindung. 

Fig. 4, bestehend aus Fig. 4A und Fig. 4B isl ein FluBdia- 
gramm des Dokumentabrufverfahrens geinaB der Erfindung. 

Fig. 5A und 5B sind FIuBdiagramme eines Verfahrens, 
gemaB der bevorzugten Ausfuhrungsform der Erfindung, 
das fiir die Unveranderlichkeil der ZugriflfskontroUe fiir Do- 
kumentsuche und -abruf sorgt. 

Fig. 6 schlieBlich isl ein FIuBdiagramm eines erfindungs- 
gemaBen Verfahrens zur Zuordnung von Eignerzugriffs- 
rechten auf gespeicherte Dokumente. 

Ausfiihrhche Beschreibung der bevorzugten Ausfuhrungs- 
fomien 

Eine konventionelle Anordnung fur ein Dokumentarchiv- 
system, bei dem eine dritte Partei als Verwaller agiert, ist in 
Fig. 1 dargestellt. Ein Dokumcniurheber 100 kann Doku- 
mente iiber seine Verbindung 102 mit einem femen Doku- 
mentarchivdienst 104, z. B. einer von einer dritten Partei 
verwalteten Datenbank, deponieren. Als Eigner der depo- 
nierten Dokumente kann der Urheber 100 Zugriffsrechte auf 
die Dokunienle zuweisen. Der Urheber eines Dokumems 
kann beispielsweise fesilegen, dass ein Gcschaflspartner 
106 die "Lese"-Berechtigung hat, d. h. dass er das Doku- 
ment uber seine Verbindung 108 mit dem Dokumentarchiv- 
dienst 104 abrufen, aber nichl andern darf. 

In solchen konvenlionellen Sysiemen ist das vom Urhe- 
ber 100 deponierte DokumenI normalerweise nichl ver- 
schliisselt, so dass der Gcschaflspartner 106 das DokumenI 
auf Verlangen priifen kann. Der Grund dafiir isl, dass es 
nach dem Stand der Technik Probleme mit der Dechiffrie- 
rung von Dokunienten gibl. Fiir die Dechiffrierung eines 
Dokuments ist der Zugriff auf den privaten Schlusse] des 
Dokumenturhebers 100 erforderlich. Um den Zugriff auf 



seinen privaten Schlusse) zu ermoglichen, muB der Doku- 
menturheber 100 entweder selber zu alien Zeiten, zu denen 
moglicherweise eine Dechiffrierung angefordert werden 
koniite, online erreichbar sein, um die Dechiffrierung selber 

5 vorzunehmen (die Frage der Systemverfiigbarkeit), oder er 
muB im voraus einen Plan entwickeln, um seinen privaten 
Schlussel dem Geschafispartner 106 direkt oder uber einen 
vertrauenswurdigen P^oxy-Server (nid)t dargestellt) zu- 
kommen zu lassen. 

10 In der US-Paienlschrifl Nr. 5,491,750 der International 
Business Machines Corporation, mit dem Ulel ''Method and 
Apparatus for Three-Party Entity Authentication and Key 
Distribution Using Message Authentication Codes", wird 
ein System beschrieben, das die Verteilung privater Sit- 

15 zungsverwaltungsschliissel emioglicht, die von zwei oder 
mehr Konununikalionsparlnem gemeinsam benutzt werden 
konnen, nachdem die Kommunikationspartner durch einen* 
vertrauenswurdigen VermittJer authentifiziert worden sind. 
Die so erzeuglen Schlussel und andere ahnliche sind aber 

20 kurzlebig und ihre Verwendung sollte auf das absolut Nol- 
wendige beschrankt werden. Es ist nicht klar, dass ein sol- 
ches Konzept geeignet ware, Dechiffrierschlussel in einem 
Dokumentrevisionssystem mil einem dauerhaften Doku- 
mentarchiv sicher zwischen Kommunikationspartnern zu 

25 iibertragen. 

In konventionellen Systemen, in denen Dokumente fur ei- 
nige Zeit deponiert werden und nicht chiffriert sind (Fig. 1), 
muB darauf vertraut werden, dass die dritte Partei, die den 
Archivdienst 104 verwaltet, die Integrilat des Dokuments 

30 bewahrt. 

Das Dokumentarchivsystem in der bevc^zugten Ausfiih- 
rungsform der vorliegenden Erfindung ist mit dem Ptodukt 
IBM Vault Registry erstellt, das Gegenstand der US-Patent- 
anmeldung Nr. 980,022 mil dem Tilel "Secure Server and 

35 Method of Operation for a Distributed Information System", 
eingereicht am 26. November 1 977 und der IBM Corpora- 
tion iibertragen, ist. U. S. Die Paienischrift Nr. 980,022 ist 
hiermit durch Bezugnahme Teil des vorliegenden Doku- 
ments. Das Produkt IBM Vault Registry bielet eine erwei- 

40 terte Webserver-Umgebung, die eine sichere Erweilerung, 
einen sogenannlen Tresor, der Klientenumgebung imple- 
, meniiert. Dieses System vertraut auf die im Hintergrund der 
Erfindung beschriebene modeme Uberlragungslechnologie, 
dass die elektronische Ubertragung von Dokumenien und 

45 anderen Daten intakt und fehlerfrei ankonunt. Ressourcen in 
einem Client-Tresor sind nur verfugbar, wenn der Zugriff 
voDi Client mil einer slarken Authentifizierung mil Hilfe 
von zertifizierten offentlichen Schlusseln erfolgt. Abhangig 
von cterUmgebung kann der Zugriff uber den Web-Browser 

SO des Client eifolgen. 

Der Informationsgehalt des Tresors ist aus Griinden der 
Vertraulichkeit chiffriert. Jetler Tresor auf einem Server be- 
silzt einen eindeutigen Chiffrierschliissel und Mechanis- 
men, die den Zugriff auf die Schlussel verhindem, sofem er 

55 nichl uber den vom Eigner des Tresors genehmiglen vertrau- 
' enswurdigen Pfad, z. B. einen Browser, erfolgt. Programme, 
die in einem TVesor laufen, sind durch Betricbssystemdien- 
ste isoliert, um folgendes zu gewahrleisten: 
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a) dass sie in einem ProzeB mit einer Systemidentilat 
(einem viriuellen Logon) laufen, so dass die Identiial 
abhanjeigen Prozessen zur Verfugung siehl, ohne dass 
eine Anderung durch ein im Tresor laufendes Pro- 
gramm moglich isl; 

b) dass sie auf den Daieninhall des Tresors, in dem sie 
laufen, zugreifen konnen - aber auf keinen anderen; 

c) dass sie vom Eigner des Tresors fiir die Ausfuhrung 
im Tresor genehmigt werden; und 
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d) dass sie signicrt sind, um Manipulationen und An- 
griffe durch sog. "Trojanische Pferde"* zu veihindem. . 

Programme, die in einem Tresor laufen, konnen Infonna- 
lionen in dem gleichen Tresor oder in anderen Tresoren, die 
gegenseitig sicheren Zugriff ihre offenilichen Schliissel ha- 
ben, deponiert warden. Normalerweise befinden sich diese 
Tresore auf dem gleichen Tnesorserver, sie konnen aber auch 
auf verschiedenen Tresorservem mil Zugriff auf eine ge- 
meinsame Zertifizierungsslelie liegen, die die Information 
zum ofientlichen Schlussel liefert. Im Zusajmiienhang mit 
einem Tresorarchiv kann "deponieren" verschiedenes be- 
deuien. In einer Implemeniierung kann "deponieren" die 
Chiffrierung der Dalen im Chiffrierschliissel des Ziellresors 
und die Signierung der Daten in» Signierschlusse! des depo- 
riierenden Tresors bedeuten. Tresorprogramme konnen nichl 
direkt auf Chiffrier- oder Signierschlussel zugreifen. Dies 
geschieht iiber eine API. Optional kann die "Deponierungs'*- 
Funktion Informationen in eine Warteschlange im Zieltresor 
schreiben. Eine andere Option bielel einen "Deponierungs- 
beweis", der bestatigt, dass die Information deponiert 
wurde, und dass ein Programm im Zieltresor die Dalen ge- 
offnet hat. All diese "Deponierungs''-Funktionen bieten ein 
Mittel, um Informationen so zwischen Tresoren auszutau- 
schen, dass: 

a) ihr UrsprungsprozeB nicht geleugnel werden kann; 

b) ihr Inhali nichl von denen, die die InterprozeBkora- 
inunikalionspuffer inspizieren, eingesehen werden 
kann; und 

c) die Zustellung gewahrldstet ist. 

Wenn eine Anwendung keine Dalen in die Warteschlange 
des Ziellresors slellen will, kann sie sich dafiir enlscheiden, 
die Information in einer Dalei oder Datenbank zu speichem 
oder andere Syslemdienste zu benutzen, die die Dalen als 
"undurchsichliges" Element behandeln konnen (z. B. Seria- 
Hsierung fur die Fondauer des Objekts). Diese undurchsich- 
tige Information kann mit Standardverfahren zum Zweck 
der Sich^ung und Wiederherstellung verwaltet werden. Ihr 
Inhalt kann jedoch nur von einem im Kontext des Eignertre- 
sors laufenden Programm mil Hilfe der Sicherverwahrungs- 
AnwendungsprogranimschnittsteUe dechiffriert werden. 
Mil dem Produki IBM Vault Registry wurde die bevorzugle 
Ausfiihrungsform der Erfindung entwickelt wie in Fig. 2 
schematisch dargestellt. 

Wie in dem System aus Fig* 1 kann auch in dem in Fig. 2 
dargestellten Konzept ein Dokumenturheber 200 Doku- 
mente iiber seine Verbindung 202 zu einem Dokumentar- 
chivdienSt, 204 Dokumente deponieren und als Eigner der 
deponierten Dokumenie dritten Parteien 206, z. Ge- 
schafisparinem, die iiber ihre eigenen Neizwerkverbindun- 
gen 208 auf die Dokumente im Dokumentarchivdienst 204 
zugreifen konnen, Zugriffsrechte auf die Dokumente zuord- 
nen. Anders als bei dem oben beschriebenen System sind 
die Bcnutzer des Dokum en tarchivsy stems aber nichl ge- 
zwungen, darauf zu vertrauen, dass die dritte Partei die Inte- 
grital der im Archiv hinierlegten Dokumente bewahn. 

Das Dokumentarchivsystem 204 in der bevorzugten Aus- 
f uhrungsfomi besteht aus zwei Komponenten, einem An- 
wendungsserver 210 und einem Tresor-Controller 214. Der 
Anwendungsserver (AS) ist ein Programm zur Verwallung 
des Daienbankarchivs 212, das sich auf dem gleichen Sy- 
stem oder auf einem fernen System in einem abgeschlosse- 
nen Netzwerk befindel. Der Tresor-Controller 214 en thai! 
mehrere Komponenten: Benulzertresore 216, 218, die indi- 
viduell den Dokumenturhebem 200 und Geschaftspartnem 
206 zugeteilt sind, einen AS-TVesor 220, der dem Anwen- 
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dungsserver 210 zugeteilt isl, und ein Tresor-Ubenva- 
chungsprogramm 222. 

Bin Benutzertresor 216 oder 218 ist nur fiir den Benutzer 
(Dokumenturheber 200 oder Geschaftsparlner 206) zugang- 

5 lich, dem der Tresor zugeordnei isl, und nur nach ordnungs- 
gemaBer Authentifikation. Die einzelnen Tresore haben kei- 
nen direkten Zugriff auf die Dokumentdatenbank 212; der 
Zugriff erfolgt iiber den AS-Tresor 220 und den Anwen- 
dungsserver 210. 

10 Die Anwendungsserver-Komponente 210 laufl nichl auf 
einer vertrauenswiirdigen Compulerbasis, sondem kann auf 
jeder beliebigen Plattform ausgefiihrt werden. Der Anwen- 
dungsserver besitzt eine Gegenkomponente, die im AS-Tre- 
sor 220, der ihm im Tresorserver214 zugeteilt ist, lauft. Der 

15 AS-Tresor 220 kann mit dem Anwendungsserver 210 kom- 
munizieren und hal iiber den Anwendungsserver Zugriff auf 
die Dokumentdatenbank 212. 

Fig* 3 ist ein FluBdiagramm des Dokumenterslellungs- 
prozesses gemaB der bevorzugten Ausfiihrungsform der £r- 

20 findung. In der Umgebung von IBM Vault Registry isl ein 
personlicher TVesor im Phinzip eine sichere Enveiterung der 
Umgebung des.Tresoreigners. Die Interaklion zwischen den 
PtozeBschritten in Fig. 3 ist deshalb zwischen den Tresoren 
des Dokumenturhebers und des Anwendungsservers darge- 

25 stellt. 

Wenn ein Dokument in dem Datenarchiv erstellt wird, 
wird es zuerst vom Arbeitsplalz des Benuizers, der es er- 
sleUt hat oder sein Urheber ist, in den personlichen Tresor 
des Benuizers (Dokumenlurhebers) gesendei (Block 300), 
30 wo das Dokument mit dem privaien Signierschliissel des 
Benutzertresors "signiert" wird (Block 302). 

Mit einer elektronischen Signalur eines Dalenelemenles 
garantiert der Signierende die Inlegrital des Dalenelemen- 
les. Eine Signalur kann berechnet werden, indem zuersi ein 
35 Digest des Dalenelemenles berechnet wird. Das Digest ist 
eine relali v kleine Suaiktur (z. B. 1 28 Bit fiir eine MD2- oder 
MD5-Zusammenfassung) mit bestimmien Eigenschafien, 
um die Sicherheit zu gewahrleisten. Erstens ist sie eine Ein- 
wegfunkiion, d. h. aus einem Digest kann das Qriginaldoku- 
40 ment, aus dem es hervorgegangen ist, nicht reproduziert 
werden. AuBerdem ist es unmoglich (oder compulertech- 
nisch nichl machbar), zu einem Digest ein zweites Vor-Bild 
zu linden, das das gleiche Digest hat. Femer ist das Digest 
auch koUisionsresistent. Das heiBt, es ist auBerst unwahr- 
45 scheinlich, dass zwei verschiedene Vw-Bilder das gleiche 
Digest erzeugen. 

Das Digest des Datenelenientes wird dann nu't dem priva- 
ien Signierschlussel der Benutzertresoranwendung chiffrierl 
(Block 304). In der bevorzugten Ausfuhrungsform wird so- 
so wohl ein symmetrisches als auch ein asymmetrisches Kryp- 
loghraphieverfahren mit offenthchem Schliissel benutzt. 

Bei der Kryptograf>hie mil offentlichein Schliissel besiizl 
eine Anwendung zwei Schliissel, einen offenilichen und ei- 
nen privaien, die als Schliisselpaar bezeichnet werden. Der 
55 private Schliissel wird von der Anwendung lokal gespei- 
chert und wird weiter unien ausfuhrlicher beschrieben. Der 
offeniliche Schliissel isl fiir alle Benutzer zuganglich, in der 
Kegel iiber einen Verzeichnisdiensi, z. B. X5(X). Die Verlei- 
lung offentlicher Schliissel isl in Fachkreisen bekannl und 
60 wird in der vorliegenden Spezifikalion nicht weiter eriautert. 

Wenn eine Kryptographie mit offenilichen) Schliissc 1 
verwendel wird, kann ein mil dem offenilichen Schliissel 
chiffriertes Daienelemenl nur mit dem zugehorigen privaien 
Schliissel dechiffriert werden. Entsprechend kann ein mit 
65 dem privaien Schliissel chiffriertes Daienelemenl nur mit 
dem offenilichen Schliissel dechiffriert werden. 

In einer Technologic mit symmetrischem Schliissel wird 
fUr Chiffrierung und Dechiffrierung derselbe Schliissel ver- 
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wendel. In der derzeitigen Praxis erfolgen Chiffrierung/De- 
chifTriening und Schlusselgenerierung bei der Technologic 
mit symmetrischem Schliissel wesentlich schneller als bei 
der asymmetrischen Technologic mil offenllichem Schliis- 
sel. 

Daten warden normalerweise mil cinem nach dem Zu> 
fallsprinzip generierten symmetrischen Schliissel chiffriert. 
Dann wird der symmetrische Schliissel selber mit dem of- 
fentiichen Chiffrierschliissel des Benutzers chiffriert und 
mit dem Dokument gespeichert, so dass er Teil des Doku> 
ments wird. 

In Fig. 3 wird das chiffrierte Dokument und die elektroni- 
sche Signatur zum Zweck der Aufbewahrung an den Tresor 
des Anwendungsservers gescndet (Block 306). Nach Emp- 
fang des chijTrierien Dokuments (Block 308) beglaubigl die 
im Tresor des Anwendungsservers laufende Anwendung die 
Signatur (Block 310), indem sie mil ihrem eigenen privaicn 
Signierschlussel noch einmal signien. 

Die Beglaubigung einer Signatur in einem elekironischcn 
Kontexi bedeulct, dass eine drilte Parlei, die als "Nolar" fun- 
giert, den Inhall einer Signatur zertifiziert. (Die Begriffe 
"Nolar" und "beglaubigen" haben in dicser Spezifikation 
nichl den vollen Bedeutungsumfang aller Pfiichien die ei- 
nem Notarial von einer Regierungsbehorde iiberlrageo wer- 
den.) Allgemein erfolgl eine eleklronische Beglaubigung ei- 
ner Signatur aJs zusatzliche VorsichtsmaBnahme, urn eine 
spatere unberechtigte Anderung der Signatur zu verhindem. 
Im Fall der vorliegenden Erfindung verhindert die Beglaubi- 
gung einer digitalen Signatur des Benutzers, dass dieser das 
Originaldokument im Dokumentarchiv erseizl oder andert. 
Eine Priifung der beglaubiglen Signatur des Dokuments 
wiirde jegliche Inkonsislenz ans TagesJicht bringen. 

Eine beglaubigle elekuonische Signatur enlhalt zwei In- 
foniiationen, namlich die Signatur des beu-efTenden Dalen- 
elemenls durch den Urheber und die Signatur der Urhebersi- 
gnalur durch den Notar. Die Signatur des Notars sollle iiber 
die Urbebersignatur und den aktuellen Zeitstempel berech* 
net werden. 

Die Anwendung, die im Tresor des Anwendungsservers 
lauft, signiert dann das von ihr empfangene Dokument 
(Block 312). Da die Daten, die er vom Dokumenturheber 
empfangl, chiffriert sind, kennt der Anwendungsserver fak- 
tisch den Inhalt des Dokuments iiicht. Deshalb wird geniaB 
der Erfindung diese zweite Signatur iiber das chiffrierte Do- 
kument und die beglaubigle Urhel>ersignatur berechnel. Die 
Signatur des Anwendungsservers stellt einen Empfangsbe- 
weis dar, der dem Dokunjeni urheber (demjenigen, der das 
Dokument deponiert), beweist, dass der Archivdienst das 
Dokument empfangen hat. Die Erstellung des Dokuments 
im Archiv kann dann spater nicht mehr vom Archivdienst 
geleugnet werden. , 

Das chiffrierte Dokument. die beglaubigle Urbebersigna- 
tur und der Empfangsbeweis werden im Archiv des Anwen- 
dungsservers Oder in der Anwendungsdatenbank gespei- 
chert (Block 314). Der Empfangsbeweis wird an den Tresor 
des Dokumenturhebers gesendet (Block 316). Der Tresor 
des Dokumenturhebers priifl die Richtigkeit des Empfangs- 
beweises (Block 318), indem die Signatur des chiffrierten 
Dokuments iiberpriift wird. Der Tresor des Dokumenturhe- 
bers priift auch die Aktualilai des Zeiislempels in der be- 
glaubiglen Signatur (Block 320). Die Toleranz fiir den Zeit- 
stempel hangl von der Anwendung ab. Wenn bei einer dieser 
PriifiJngen ein Fehler erkanni wird, wird eine Fehlermcl- 
dung an den AS-Tresor gesendet (Block 322) und im Sy- 
stem proiokolliert. Wenn der Empfang korrekl und akluell 
isi, sendel die Anwendung, die im Tresor des BenuLzers 
lauft, den Empfangsbeweis an den veriirsachenden Benutzer 
zuriick (Block 324), damit sie fur eine spatere Referenz in 



einem lokalen Cache gespeicherl wird, falls bewiesen wer- 
den muB, dass das Dokument im Archiv gespeichert worden 
ist. 

Es ist moglich, dass der Dokumenturheber das Dokument 

5 mit einem eigenen Verfahren signieren und/oder chiffrieren 
kann, bevor er es zur Speichcrung in seinen Tresor sendel. 
Das Dokumentarchiv beacbtet den Inhah des zu speichem- 
den Dokuments aber nicht. Ein chifhiertes Dokument wird 
deshalb vom Tresor des Benutzers emeut signiert und chif- 

10 friert, wie jedes andere Dokument. 

Fig. 4 isl ein RuBdiagramm, in dem dargestellt isl, welche 
Schritte gemaB der bevorzugten AusfiihningsfcMrm der Erfin- 
dung ausgefiihrt werden miissen, damil das Dokument von 
einem anfordemden Benutzer abgerufcn werden kann, der 

15 unler eineni von Dokumenturheber venvaltelen Nachweis- 
typ, der als ZugrilTskonlroll-Lisle (A(X) bezeichnel wird, 
aulorisien worden ist. Wie in Fig. 3 sind die Verfahrens- 
schritte zwischen drei Aktoren, namlich Benutzer, Anwen- 
dungsserver und Anforderer, aufgeleill, auf der Basis, dass 

20 deren personliche Tresore im Prinzip sichere Erweiterungen 
ihrer betreffenden Arbcitsbereiche sind. 

In Fig. 4A stelll der Benutzer an seine Tresoranwendung 
eine Anforderung, ein Dokument aus dem Anwendungsser- 
verarchiv abzurufen (Block 400), und seine Tresoranwen- 

25 dung sendel dann ihrerseits die Dokumentabrufanforderung 
an den Anwendungsserver-Tresor (Block 402). 

Die Tresoranwendung des Anwendungsservers empfangt 
die Zugriffsanforderung (Block 404) und ruft das chiffrierte 
Dokument und die beglaubigle Signatur aus der Anwen- 

30 dungsdatenbank ab. 

Die Tresoranwendung des Anwendungsservers sendet 
das chiffrierte Dokument und die beglaubigle Signatur an 
den Tresor des Dokumenturhebers. Der Tresor des Anwen- 
dungsservers sendet auch die Identitat des anfordernden Be- 

35 nutzertresors an den Tresor des Urhebers (Block 408). 

Der Tresor des Urhebers priift, ob der anfordemde Benut- 
zer die Berechtigung zum Abrufen des Dokuments besilzt 
(Block 410). In der bevorzugten Ausfuhrungsform v/nd die 
Dokumentzugriffskontrolle durch Zugriffskonlroll-Lislen 

40 aktivieri, mil dencn der Zugriff auf das Dokument auf auto- 
risierte Slellen beschrankt wird. Eine Zu griff skontroU-Liste 
(ACL) isl einem Dokument zugeordnet und wird im Tresor 
des Dokumenturhebers gespeicherl und verwallet wie wciler 
unten im Zusammenhang mit Fig. 5A und Fig. 6 beschrie- 

45 ben. Die ACL muB gepriift werden, wenn ein Benutzer eine 
Dokumentabrufanforderung sendel. Ein anfordemder Be- 
nutzer erhali nur eine Kc^ie des Dokuments, wenn er das 
Zugriffsrechl besitzl. 

In der Ijevorzugten Ausfuhrungsform der Erfindung kon- 

50 nen Pahigkeitslisten benutzl werden, damit anfordemde Be- 
nutzer ihr Zugriffsrechl auf Dokumenlc im voraus verifizie- 
ren konnen. In einer I^bigkeiisliste sind alle Dokumente in 
einem Archiv aufgefiihrt, fiir die ein bestimmter Benutzer 
das Zugriffsiecht besitzt. Die FahigkeitsHste eines anfor- 

55 demden Benutzers wird in seinem eigenen Tresor gespei- 
chert und verwaltet. Der Anfordernde braucht nur (fiese Li- 
sle durchzusehen, urn fcstzusiellen, auf welche Dokumente 
er zugreifcn kann. Verwendung und Verwaltung der I^g- 
keitslisten werden im Zusammenhang mit Fig. 5B ausfuhr- 

60 licher beschriebcn. 

Wenn der anfordernde Benutzer keine Zugriffsberechti- 
gung auf das Dokument t>esitzi, wird eine Fehlermeldung an 
den Urheber gesendet und im System proiokolliert (Block 
. 414). 

65 In Fig, 4B wird, wenn der anfordernde Benutzer die Zu- 
griff sberechligung fiir das Dokument besitzl, das Dokument 
von der Tresoranwendung des Urhebers dechiffriert (Block 
41 6) und die beglaubigle Signatur iiberpriift (Block 418) . Da 
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die Originalsignatur des Uitiebers uber den unchiffrierten 
Dokumentinhalt berechnet wurde, kdnnen nur diejenigen 
Benutz^-, die auf den Dokumentinhalt zugreifen konnen 
(d. h. die den privaten Schlussel des Urhebers besitzen), die 
Signalur priifen. Wenn die empfangene Signalur nichl dem 
entsprichi, was der Dokumenturheber in seinen eigenen Da- 
teien slehen hal, ist klar, dass es sich nicht um dieselbc Ver- 
sion des Dokuments handelt, die deponiert wurde, und der 
Urheber sendel eine Fehlemachrichl an den Anwendungs- 
server (Block 420). 

Wenn die Signalur geprufl worden ist, sendel der Urheber 
das dechifTrierte Dokumenl und die beglaubigte Signatur an 
den Tresor des anfordemden Benutzers (Block 422), 

Nach Empfang des dechiffrierten Dokuments versucht 
die Tresoranwendung des anfordemden Benutzers, die be- 
glaubigte Signalur des Urhebers zu prufen (Block 424). 
Wenn der anfordemde Benutzer sie nicht verifizieren kann, 
wird eine Fehlermeldung an den Urheber gesendet und im 
System protokoUiert (Block 426). 

Wenn die beglaubigte Signatur des Urhebers verifiziert 
werden kann, signiert der TVesor des Anfordemden die mil 
dem Dokument empfangene beglaubigte Signatur. Diese Si- 
gnatur wird iiber die beglaubigte Signatur und uber den ak- 
tuellen Zeitstempel berechnet und stelll einen Zustellungs- 
beweis dar (Block 428), der belegt, dass der anfordemde Be- 
nutzer das Dokument aus dem Archiv abgemfen hat. Der 
Tresor des Anfordemden sendel das dechifTrierte Dokument 
zusanunen mil dem von ihm generierlen Empfangsbeweis 
an den Arbeilsplalz des Anfordemden (Block 430). Der Tre- 
sor des Anfordemden sendel auch den Empfangsbeweis an 
den Anwendungsserver-Tresor (Block 432). Der Anwen- 
dungsserver verifiziert die Signatur des Anforderertresors 
auf dem Empfangsbeweis (Block 434). Wenn die Signatur 
nichl verifiziert werden kann, wird eine Fehlermeldung an 
den Urheber gesendel und im System protokollierl (Block 
436). Wenn die Signalur verifiziert werden kann, speichen 
der Anwendungsserveruesor den Beweis in den Anwen- 
dungsdalenbank, falls der Anwendungsserverspater nach- 
weisen muB, dass der Anfordemde das Dokument tatsach- 
lich abgemfen hat. 

Unveranderlichkeil der ZugriflfskontroUe fiir den Doku- 
mentabruf 

^e bereits erwahnt besteht in einem Datenarchiv die 
Notwendigkeit eine Dokumentzugriffskontrolle. Dies be- 
deutet, dass nur die voui Dokumenteigner autorisierlen Be> 
nutzer Einsicbt in die Dokumente haben, und dass Doku- 
mentzugriffserlaubnisse nur vom Dokumenteigner (d. b. 
vom Urheber) selber und von den Personen, die vom Doku- 
menteigner die Berechligung zum Andem der Zugriffskon- 
Uroll-Lisle fur das Dokumenl erhalien haben, geanderl wer- 
den konnen. Es ist wichlig,dass sichergeslelll ist, dass selbst 
der Archiwerwaller nicht in der Lage isl, ohne Autorisie- 
rung durch den Dokumenteigner die Zugrififsberechligungen 
fiir ein Dokument zu andern. 

Es gibl zwei verschiedene Arten von Anwendungsanfor- 
deningen fur die Unveranderhchkeit der Dokumentzugriffs- 
kontrolle. Der Dokuraentzugriff muB in folgenden Fallen 
gepriift werden: 

1) wenn ein Benutzer eine Suche durchfuhrt, um alle 
Dokumenle zu finden, fiir die er die Berechligung zum 
Betrachten hai und 

2) wenn ein Benutzer tatsachlich ein Dokument abruft. 

Alle Anwendungen miissen die Zugriffskontrolle beim 
Dokumentabmf (ZugrifTsan 2) erzwingen. Ftir diese Zu- 



griffsart muB das Archiv garantieren, dass die Zugriffskon- 
trolle eines Dokuments nicht von einem nicht aut(»isierten 
Benutzer, z. B. einem Konkurrenten, geandert werden kann. 
In einigen Anwendungen ist es aber nicht erforderlich, 

5 dass ein Benutzer nicht das Dokument abfragen kann, um 
festzustellen, welche Dokumente er betrachten darf. Dieses 
Wssen kann z. B. offline in geschaftb'cben Besprechungen 
Oder telefonisch iibermitlell werden. In einem sole hen Fall 
weiB der Benutzer bereits, auf welche Dokumente er zugrei- 

10 fen kann, und seine Kenntnis seines eigenen Dokumentzu- 
griffs kann nichl von Aktionen des Archivs beeinfluBl wer- 
den. 

Ein System, das die Unveranderlichkeil der ZugritTskon- 
Irolle nur beim Dokuraenlabruf, aber nicht bei der Doku- 

15 menisuche erzwingt, isl Gegensland unserer gleichzeiligen 
Anmeldung mil dem Tilel "System for Electronic Reposi- 
tory of Data Enforcing Access Control on Data Retrieval" 
(kanadische Paienianmeldung 2,256,934). Die diesem Sy- 
stem wird die Zugriffskontrollinformation in der Datenbank 

20 bzw. im Archiv des Anwendungsservers gespeichert. 

Eine strengere Form der Unveranderlichkeil der Zugriffs- 
kontrolle, die dort verwendet werden soUte, wo Benutzer 
nicht iiber unabhangige Infomnation iiber ihren Dokument- 
zugriff verfiigen, beirifft sowohl die Dokumentsuche als 

25 auch den Dokumentabmf. Fiir diese Fordemng kann die Zu- 
griffskontrollinformation nicht in der Anwendungsdaten- 
bank gespeicherl werden. Stall dessen wird sie im Tresor des 
Dokumenleigners gespeicherl. Dieses Schema isl Gegen- 
sland der vorliegenden Erfindung und wird durch die FluB- 

30 diagramme in Fig. 5 und Fig. 6 illustrierl und weiter unlen 
beschrieben. 

In der vorhegenden Ausfiihmngsform isl jedem Doku- 
menl eine Zugriffskonlroll-Lisle (ACL) zugeordnet, die die 
DokumenlzugrifTsberechtigung verschiedener Benutzer 

35 festlegl. AuBerdem besilzt jeder Benutzer im System eine 
Fahigkeilsliste, in der alle gespeicherten Dokumente, von 
denen der Benutzer nichl der Eigner isl, auf die er aber zu- 
greifen kann, idenlifiziert werden. 
Um die Unveranderlichkeil zu garantieren, wird jede 

40 ACL im Tresor des Dokumenlurhebers verarbeiiet, wie in 
Fig. 5A daigesiellt, und parallel dazu wird jede Fahigkeils- 
liste im entsprechenden Benutzertresor verarbeiiet wie in 
Fig. SB dargestellt. 

In Fig. 5A stelit der Tresor des Dokumenleigners nach ei- 

45 ncr Aklualisierung einer ACL (Block 500) fesl, welche Be- 
nutzer von der Andemng betroffen sind (Block 502), uod 
eine Nachricht, in der die Art der Zugrififsanderung (Hinzu- 
fiigung, Erweiterung oder Beschrankung) angegeben wird, 
wird im Tresor jedes Benutzers deponiert, dessen Zugriffs- 

50 rechl auf das Dokument geandert worden ist (Block 504). 
Jeder ACJL ist eine Versionsnummer und ein Zeitstempel 
der letzten Anderung zugeordnet. Der Tresor des Doku- 
menleigners cihohi dann inkrementell die Versionsnummer 
der ACL (Block 506) und ersetzt deren alien Zeilsiempel 

55 durch den akluellen 2^itstempel (Block 508). Aus der aklu- 
ellen Versionsnummer und dem Zeitstempel, die der ACL 
jelzi zugeordnet sind, wird ein Token, das die Unverander- 
lichkeil der ACL garantieren soli, erslellt und vom Tresor 
des Dokumenlurhebers signiert (Block 510). Die ACL wird 

60 ebenfalls vom Tresor des Dokumenlurhebers signiert (Block 
512). 

Das ACL-Token wird dann an den Tresor jedes zum Zu- 
griff auf das Dokument berechtigten Benutzers gesendel, wo 
es zur Speicherung mil der Zugrifl'sanwendung des Benul- 
65 zers auf dessen Artreitsplatz gespeichert wird (Block 514), 
damil eine spalere Verifizierung der ACL moglich isl. Das 
signierte Token wird zur Speicherung an den Arbeilsplalz 
des Dokumenlurhebers gesendet (Block 516). Da der Doku- 
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menturheber eine Kopie des signierten Tokens besitzt, wird 
er letztlicb zum Arbiter dariiber, ob die Dokument-ACL ak- 
luell isl Oder nicht. 

Wenn ein Geschaftspartner ein Dokumenl abrufen 
inochle, sendei die AS-Tresoranwendung das chiffrierte Do- 
kumenl wie oben beschrieben an den Tresor des Urhebers 
(Block 408 in Fig. 4A). Um die Berechtigung des Anfor- 
demden zu verifizieren (Block 412 in Fig. 4A), schaut der 
Tresor des Dokumenturhebers einfacb in der lokal gespei- 
cherten verifizierten ACL nach, ob der Anfordemde das Zu- 
griffsrechl auf das angegebene Dokuinent besitzL Mil die- 
sem Verfahren kann niemand die in der Anwendungsdaten* 
bank gespeicherte ACL andem, ohne dass dies vom Tresor 
des Dokumenturhebers bemerkt wird. 

Wie oben beschrieben besilzi jcder Benulzer, der Eigner 
von Dokunienlen im Archiv isl, auf seineni Arbeilsplalz die 
signierten Tokens der korrekten Version jeder ACL. Die 
ACX- Versionen im Benulzertresor werden verifizierl, indem 
das auf dem Arbeilsplalz des Benuizers gespeicherte Token 
mil dem im Benulzertresor gespeicherlen verglichen wird. 
Dieser Vergleich kann zu verschiedenen Zeiien ausgefuhrt 
werden; eine gule Gelegenheii zur Verifiziening der in ei- 
nem Benulzertresor gespeicherlen ACLs ist das Logon, so 
dassjedesma], wenn sich ein Benulzer beim System anmel- 
del, die ACLs verifizierl werden. 

Wenn die Veiifizierung der ACL nichl gelingl, kann die 
Benutzertresoranwendung automatisch die Verarbeitung 
jeglicher Anforderung, ein von der ACL geschiitztes Doku- 
menl abzurufen, einsteUen. Dieser Zusiand der Unverander- 
lichkeit des Dokumenls wiirde weiieibestehen, bis der Be- 
nulzer enlweder eine neue ACL ersielll oder die vorhandene 
ACL neu zertifizierl. Der ProzeB der Rezertifizierung der 
ivorhandenen ACL wiirde die Synchronisierung des im Be- 
nutzertresor gespeicherlen ACL-Tokens mil dem auf dem 
Arbeilsplalz des Benuizers gespeicherlen Token einschlie- 
Ben. 

Bei jeder Aktualisierung einer ACL werden parallel zu 
den in Fig. 5 A aufgefiihrten Schriilen einige andere Schritle 
ausgefuhrt. I^ese zusalzlicben Schritle sind in Fig, 5B dar- 
gesiellL 

Jeder Benulzertresor isl fur die VerwaJlung einer Fahig- 
keitslisle zuslandig, die eine Auflistung aller Dokumenie, 
auf die der Benulzer zugreifen darf, enthall. Die Aklualitai 
der P^higkeitsliste selber wird durch eine Versionsnummer 
und einen neueslen Zeitstempel ideniifiziert. Wenn eine 
Nachrichl, die eine Anderung der Zugriffsmoglichkeit eines 
Benuizers auf ein Dokumenl (eine Aklualisierung einer Do- 
kumenl-ACL) mitteilt, im Tresor des Benuizers eingehl 
(Block 520), wird die Fahigkeiislisie im Tresor des Benui- 
zers aulomatisch mil Versionsnummer (Block 522) und 
neuestem Zeitstempel (Block 524) aktualisiert. Uber die 
Versionsnummer und den Zeitstempel (Block 526) wird ein 
Token berechnet, das zur Verifiziming der Ricbtigkeic der 
Fahigkeiislisie verwendet werden kann. Das Token wird 
vom Tresor des Benuizers signiert (Block 528), und die Fa- 
higkeitsliste ebenfalls (Block 530). Das signierte Token und 
die signierle Fahigkeiislisie werden iin l>esor des Benuizers 
gespeichert (Block 532), der TVesor des Benuizers bewahrt 
aber die alte FahigkeitsUste und ihr Token auf, da das Token 
fiir die alte Fahigkeiislisie dem auf dem Arbeilsplalz des Be- 
nuizers gespeicherlen Token enispricht, bis eine Aktualisie- 
rung voigenommen werden kann. 

Eine Moglichkeil zur Synchronisation der aktuellen Fa- 
higkeiislisie mil dem auf dem Arbeilsplalz gespeicherten 
Token des entsprecbenden Benuizers besiehi darin, dies au- 
lomatisch zu tun, wenn sich der Benulzer beim System an- 
meldel (Block 532). Die Richligkeil des Tokens auf dem Ar- 
beilsplalz des Benutzers kann mil dem im Tresor des Benul- 
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zers aufbewahrten alien Token verglichen werden, und dann 
kann das aktualisierte Token an den Arbeilsplalz des Benui- 
zers gesendel werden (Block 534). Sobald das alte Token 
auf dem Arbeilsplalz des Benuizers erselzi worden ist, kann 

5 die alte Fahigkeiislisie und ihr Token aus dem Tresor des 
Benutzers geloschl werden. 

Eine andere Allemalive zur Aklualisierung des Tokens 
der Fahigkeiislisie auf dem Arbeilsplalz des Benutzers 
(nicht dargestelh) zu aktualisieren, ware, dass der Benulzer 

10 die Initative ergreifen muB, um Aktualisierungen der Fahig- 
keiislisie seit seiner lelzlen Anmeldung beim System festzu- 
stellen. 

Um die Zusammengehorigkeil von ACLs und den Fahig- 
keilslisien sicherzustellen, muB die Umgebung, auf der das 

15 System basien (z. B. das Produkl IBM Vault Registry) eine 
garanlierte Nachrichlenzuslellung fiir Nachrichten, die von 
einem Tresor in einem anderen deponierl werden, bieten. 
DieGaranlie der Zuslellung einer Fahigkeiislisie kann auch 
durch die Anwendung erfolgen, indem z. B. eine Bestati- 

20 gung von dem Benulzer, der die Aklualisierung empfangt, 
gefordert wird. 

Als Resuliai dieses Schemas werden ACL und Fahig- 
keiislisie von ihren Eignem gespeichert. Keine Partei im Sy- 
stem kann die Zugriffskoniroll-Lisle eines Dokumenls an- 

25 dem, ohne dass der Dokumenleigner dies erfahrl. AuBerdem 
kann keine Partei im System das Wissen eines Benutzers 
iiber sein Zugriifsrecht auf ein Dokumenl (d. h. eine Fahig- 
keil) andem, ohne dass der autorisierte Benulzer dies be- 
merkt. 

30 Im Gegensalz zu dem ZugriffskoniroUschema, das in un- 
serer oben genannlen, gleichzeitig anhangigen Anmeldung 
beschrieben wird, wo die Suche im Tresor des Anwendungs- 
servers stattfindet, erfolgt in der vorliegenden Erfindung die 
Suche nach Dokunienlen, fur die ein Benulzer die Zugriffs- 

35 berechtigung besitzt, in der Tresoranwendung des Benutzers 
selber. 

Zuordnung von EignerzugrifTsrechten 

40 In manchen Umgebungen muB der Dokumenleigner die 
Moglichkeit haben, einer anderen Person die Erlaubnis zum 
Andern der ZugrifTsliste des Dokumenls zu erleilen. Zum 
Beispie! wenn der Eigner nichl da ist, kann ein anderer auto- 
risierler Benulzer in der Lage sein, die ZugriffskonlroUe fur 

45 das beslimmle Dokumenl zu aktualisieren. 

In einer bevorzuglen Ausfiihrungsform der Erfindung 
kann die Aklualisierung von ACLs oder Fahigkeiislisie 
von anderen Benulzem im System durchgefiihrl werden, in- 
dem die in Fig, 6 dargeslellien Schrilte ausgefuhrt werden. 

50 Zum Beispiel wenn eine Aktualisierung der ACTL ver- 
sucht wird, muB der Benulzer, der die Aktualisierung vor- 
ninunl, in der Lage sein, das aktuelle signierte Token fur die 
ACL vorzulegen (Block 600). Das signierte Token wird zum 
Tresor des Benutzers gesendel (Block 602), d^ das signierte 

55 Token an den Tresor des Urhebers iibeigibl (Block 604). 
Wenn dem aktualisierenden Benulzer in der ACL dieses Do- 
kumenls keine Eignerzugnifsrechle zugewiesen worden 
sind, dann erkennt der Tresor des Dokumenteigners dies, 
und er verweigert die Aktualisierung und sendet eine Feh- 

60 lermeldung an den Tresor des Benutzers (Blocke 606 und 
608). 

Wenn der Tresor des Urhebers das Zugriffsrechl des si- 
gnierenden Benuizers auf das Dokumenl verifizieren kann, 
und wenn festgestelll wird, dass die Versionsnummer und 
65 der Zeitstempel des ACX-Tokens akluell sind (Block 606), 
wird die ACL aktualisiert (Block 610), und ein neues Token 
wird generiert und signiert (Block 612) und im Tresor des 
Urhebers gespeichert (Block 714). Das neu signierte Token 
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wird an den TVesor des Dokumenturhebers gescndel (Block 
616). Der Tresor des AktuaUsierenden sendet das neue To- 
ken zur Speicherung an dessen Arbeit^latz zuriick (Block 
618). Das neu signierte Token kann optional auch zur Spei- 
cherung im Archiv an den Tresor des Anwendungsservers 
gesendet werden (Block 620). 

Dieses Verfahren.veriangt, dass zu jedem Zeitpunkt nur 
eine einzige Person cine A(X-Aktualisierung durchfiihrl. 
Wenn zum Beispiel ein Dokumenteigner John Urlaub 
ninimt, kann er einer Mitaibeiterin Mary erlauben, die ACL 
seines Dokuinenls in seiner Abwesenheil zu aktualisieren, 
indem er Mary sein akiuelles Token fiir die ACL des Doku- 
menls gibt. Mary fiihrl dann eine A(JL-Akluahsierung 
durch, indem sie das Token durch ihren Tresor John's Tresor 
vorlegL Mary empfangl das neu signierte Token fur die ACL 
und gibt es John bei seiner Ruckkehr wieder zuriick. Nach 
der Installation des neuen Tokens kann John selber eine 
ACL-Aktualisierung vomehmen. 

Datensicherung und -wiederherstellung 

Gelegentlich kann es notwendig sein, dass der Venvalter 
des Dokumenlarchivs die Dokumentdatenbank aus einem 
vorherigen Backup wiederberstellt. Dies kann beispiels- 
weise bei einem katastrophalen Datenbankfehler, z. B. bei 
einem Festplattendefekt, der Fall sein. 

Die zu sichemden Daten sind die Dokumenle selber, die 
ACLs (enlweder in der Anwenderdatenbank oder in den 
Eignertresoren gespeicherl), die Fahigkeitenlislen (fur die 
Systeme, in denen sie implementiert sind, wie oben be- 
schrieben), und die Verifikaiionstokens von ACLs und Fa- 
higkeilslisten. 

Nach einer Riickspeicherung der Daten konnen Aktualie- 
riingen, die nach der lelzten Sicherung voigenonunen wur- 
den, verloren gegangen sein. Fur die Zwecke der vorliegen- 
den Erfindung konnte es sich dabei auch um ACL- und Fa- 
higkeilslisten-Aklualisieningen handeln. Wenn dies ge- 
schieht, stimmen die auf den Benulzerarbeilsplatzen gespei- 
cherlen Verifizierungslokens moglicherweise nicht mehr mil 
den Tokens in den enlsprechenden Tresoren iiberein, so dass 
die Benulzer keinen Zugritf mehr haben. Deshalb wurde als 
Standard fur die Dalenwiederherslellung in verschiedenen 
Situatiooen das folgende System implementiert. Es wird an- 
genommen, dass die Sicherung zum Zeitpunkt ZEITl er- 
folgte, und die Riickspeicherung zu einem spateren Zeit- 
punkt ZEIT2. Wenn cine voUslandige Ruckspeicberung der 
Dokumentdatenbank, der ACLs, der Fahigkeitslisten und 
der enlsprechenden in den Tresoren gespeicherten Tokens 
diirchgefuhrt wird, kdnnen die Benutzer, die vorZEITI auf 
ein Dokument zugreifen konnten, dies auch nach Z£]T2 tun. 
Dies bedeutel, dass wenn ein Benutzer vor ZEIT1 berechtigi 
war, die Berechligung aber zwischen ZEITl und ZEIT2 wi- 
derrufen wurde, dieser Benutzer dennoch auf das Dokument 
zugreifen kann, bis derEigner des Dokuments das ACL-To- 
ken priifi. Nach einer voUstandigen Daienriickspeicherung 
sollten deshalb alle Benutzer eine Priifung der ACL und der 
Fahigkeilsliste durchfiihren. 

Wenn nur die Dokumenldalenbank zuriickgespeichert 
wurde und die ACLs, die Fahigkeitslisten und die in den 
Tresoren gespeicherten Tokens unberiihrl geblieben sind, 
konnen Benutzer fesisiellen, dass sie das Zugriffsrecht fur 
ein Dokument besilzen, das gar nicht in der Datenbank ge- 
speicherl isl, da das Dokument nach ZEITl hinzugefiigt 
wurde, aber nachher bei der Riickspeicherung der Daten- 
bank verloren gegangen isl. Da alle Tokens aktuell sind, gibt 
es keine weileren Anomalien. 

Ein anderer Fall liegl vor, wenn in einem System keine 
Fahigkeitslisten benutzt werden, die ACLs aber in der An- 



wendungsdalenbank gespeichert werden. Wenn die Doku- 
mentdatenbank und die ACL zuriickgespeichert worden 
sind, w§hrcnd die in den Tresoren gespeicherten Tokens 
nicht zuriickgespeichert wurden, stellen die Benutzer fest, 

5 dass alle Dokumenle, deren ACL nach ZEITl geandert wur- 
den, nicht mehr zuganglich sind. Dies kommldaher, dass die 
ACL-Tokens in der Anwendungsdatenbank nicht mil den in 
den Tresoren der einzebien Eigner gespeicherten Tokens 
ubereinstimmen. Um dieses Problem zu losen, miissen alle 

10 Dokumenteigner die ACLs aktualisieren. Eine Moglichkeit 
dazu isl, dass der Verwalier die alien ACLs (die zu ZEITl in 
Kraft waren), den Dokumenteignem sendet und sie billet, 
die enlsprechenden Tokens in ihren Tresoren neu zu inslal- 
lieren. Diese AktuaJisierung wird manuell, nicht auioma- 

15 tisch, vorgenoirunen, und die Dokumenle eines Eigners sind 
unzuganglich, bis er die Akluahsierung durchgefiihrl hal. 

In Situationen, in denen Dalenbankinkonsisienzen ver- 
mieden werden miissen, kann der Archivverwalter nach ei- 
ner Riickspeicherung den ZugrifT auf alle Dokumenle sper- 

20 ren, bis der Urheber FehlerbehebungsniaBnahmen ergrifTen 
hat. Diese Sperre kann fur alle Dokumenle im Archiv gelten 
oder nur fiir einen Teil der Dokumenle, bei denen die Konsi- 
stenz am kritischsten ist. In diesem Fall muB man sich auf 
den Archivverwalter verlassen, um die Konsistenz des Sy- 

25 stems zu wahren. We bereits erwahnt hat der Verwalier aber 
in keinem Fall die Moglichkeit, Benutzerzugriffsrecbte auf 
ein Dokument zu erteilen oder zu widerrufen. 

In der obigen Beschreibung wurden bcvorzugte Ausfuh- 
rungsformen der vorliegenden Erfindung mittels des Pro- 

30 dukts IBM Vault RegisUy beschrieben. Dem Fachmann ist 
aber klar, dass die vorliegende Erfindung auch mil anderen 
Produklen, die iiber ahnhche Funktionen verfiigen, imple- 
meniien werden konnle, z. B. mil sicheren tresorahnlichen 
Unigebungen, die sich lokal auf dem Arbeiisplalz der ein- 

35 zelnen Benulzer befinden. Solche und andere Abwandlun- 
gen, die fiir den Fachmann offensichlhch sind, sollen eben- 
falls unter den Schutzumfang der beigefijgten Anspriiche 
fallen. 

40 Palentanspriiche 

1. Ein sicheres System zum Suchen von elektroni- 
schen Datendateien, die in einem Datenarchivsysteni 
gespeicherl sind. umfassend: 
45 eine Xommunikationsumgebung mit 

(i) einem ersten Agentenprogranmi fur einen 
Computer, der eine elektronische Datendatei iin 
Datenarchivsystem deponieri, und 

(ii) einem zweiten Agentenprogramm fiir einen 
50 ersten Benutzercomputer mit Zugriffsrecht auf die 

elektronische Datendatei; 
einer Nachweislisie fiir die elektronische Datendatei, in 
der Zugriffskontrollen fiir die elektronische Datendatei 
aufgefuhn sind, wobei die Nachweislisie fiir das erste 
55 Agentenprogramm zuganglich isl und von diesem ver- 
waltet wird; 

eine ersle Aufzeichnung der Zugriffsrechle des ersten 
Benutzercompulers auf die elektronische Datendatei, 
wobei die erste Aufzeichnung fur das zweite Agenien- 

60 programm zuganglich ist und von diesem verwaltet 
wird; ^ 
Mi it el, um Anderurigen an der Nachweislisie, die die 
ZugrifTsrechte des ersten Benutzercompulers auf die 
eleku-onische Datendatei beirefTen, vom ersten Agen- 

65 lenprogramm an das zweite Agentenprogramm zu sen- 
den, um die ersie Aufzeichnung zu aktualisieren; und 
Mittel, mit denen das erste Agentenprogramm die Zu- 
griffsrechte des ersten Benutzercompulers auf die elek- 
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Ixonische Dalendalei priifen kann, bevor die eleklroni- 
sche Datendatei fur das zweite Agentenprograrnm frei- 
gegeben wird. 

2. Das sichere System nach Anspruch 1, wobei das er- 
sle Agen tenprogramtn ei ne sichere Erweiterung des de- 5 
ponierenden Computers und das zweite Agentenpro- 
grarnm eine sichere Erweiterung des ersten Benutzer- 
computers isi. 

3. Das sichere System.nach Anspruch 2, das auBerdem 
Mittel besilzt, um die Andeningen der Nachweisliste, lO 
die die Zugriffsrecbte des ersten Benutzercomputers 
auf die elekironische Datendatei betreffen, vom zwei- 
len Agentenprograrnm an den ersten Benutzercompu- 
ler zu senden. 

4. Das sichere System nach Anspruch 1 oder 2, das au- 15 
Berdem folgendes umfaBl: 

ein drittes Agentenprograrnm fur einen zweiten Benut- 
zercomputer mit Zugriffsrecbt auf die elektronische 

Datendatei; und 

eine zweite Aufzeichnung der Zugriffsrechte des zwei- 20 
ten Benutzercompulere auf die elektronische Datenda- 
tei, wobei die Aufzeichnung fur das dritte Agentenpro- 
grarnm zuganglich isl und von diesem verwaltet wild, 
und wobei das Miuel um die Anderqngen an der Nach- 
weisliste, die die Zugriffsrechte des ersten Benutzer- 25 
computers auf die elektronische Datendatei betreffen, 
zur Aktualisierung der ersten Au^chnung an das 
zweite Agentenprogranun zu iibertragen, Mittel um- 
faBl, um Andeningen an der Nachweisliste, die die Zu- 
griffsrechte des zweiten Benutzercomputers auf die 30 
elektronische Datendatei betreifen, zum Aktualisieren 
der zweiten Aufzeichnung vom ^sten Agentenpro- 
grarnm an das dritte Agentenprogranun zu iibertragen;* 
und 

wobei das Mittel, mit dem das erste Agentenprograrnm 35 
die Zugriffsrechte des ersien Benutzercomputers auf 
die elektronische Datendatei verifizierl, bevor die elek- 
tronische Dalendalei fur das zweite Agentenprograrnm 
freigegeben wird, ein Mittel umfaBt, mit dem das erste 
Agentenprograrnm die Zugriffsrechte des zweiten Be- 40 
nutzercomputers auf die elektronische Datendatei veri- 
fizierl, bevor die elekironische Dalendalei fiir das dritte . 
Agenienprogranini freigegeben wird. 

5. Das sichere System nach Anspruch 4, wobei das 
dritte Agentenprograrnm eine sichere Erweiterung des 45 
zweiten Benutzercomputers ist. 

6. Das sichere System nach Anspruch 5, das auBerdem 
Mittel besitzl, um die Anderungen der Nachweisliste, 
die die Zugriffsrechte des zweiten Benutzercomputers 
auf die elektronische Datendatei betreffen, vom dritten SO 
Agentenprograrnm an den zweiten Benutzercomputer 
zu senden. 

7. Das.sidiere System nach Anspruch 2 oder 5, wobei 
die Komjnunikationsumgebung einen Server umfaBt. 

8. Das sichere System nach Anspruch ]» 2 oder 5, das 55 
auBerdem in der Kommunikationsumgebung eine 
Schniltstelle zum Datenarchivsystem umfaBt, die daran 
angepaBt ist, alle Ubertragungen zwischen dem Daten- 
archivsystem und dem Agenlenprogramm zu empfan- 
gen. 60 

9. Das sichere System nach Anspruch 8, wobei die 
Schniiistelle eine sichere Erweiterung des Dalenar- 
chivsyslems ist. 

10. Ein Verfahren fiir die Verwallung eines sicheren 
eleklronischen Dalensuchsyslems fiir ein eleklroni- 65 
sches Dalenarchiv, wobei das System eine Nachweish- 
sle, in der Zugriffsrechte auf die elektronische Daten- 
datei im Dalenarchiv aufgefiihrt sind, und eine Auf- 



zeichnung, in der Dokumenizugriffsrechte fur jeden 
Computer mit Zugriff auf die im Archiv gespeicherten 
eleklronischen Daten aufgefiihrt sind, besitzl, wobei 
das Verfahren folgende Schritte umfaBt: 
Aktualisieren einer Nach weisl isle fur eine im Archiv 
gespeicherte elektronische Datendatei; 
Identifizieren ailcr Computer, deren Zugriffsrecbt auf 
die elektronische Datendatei von der Aktualisierung 
betroffen isl; 

Ubertragen der Zugnffsanderung an alle betroffenen 
Computer; 

Aktualisieren der Zugriffsrechtaufzeichnungen aller 
betroffenen Computer; und 

Ubertragen der akiualisierten Zugriffsrechtaufzeich- 
nungen an die betroffenen Computer. 

11. Ein sicheres System zum Suchen von eleklroni- 
schen Dalendaleien, die in einem Datenarchivsystem 

. gespeichert sind, umfassend: 

Miuel zum Verwallen eine Nachweisliste, in der Zu- 
griffskontrollen fiir jede im Datenarchivsystem gespei- 
cherte elektronische Dalei aufgefiihrt sind; 
Mittel zum Beschranken des Zugriffs auf jede Nach- 
weisliste auf einen Computer mil Deponierungsberech- 
tigung; 

Mittel zum Verwallen einer Aufzeichnung, in der die 
Zugriffsrechte auf die elektronische Datendatei fur je- 
den Computer mit Zugriffsrecbt auf mindestens eine 
elektronische Datendatei im Datenarchivsystem aufge- 
fiihrt sind; 

Mittel, um den Zugriff auf die Aufzeichnung auf den 
zugehorigen Computer mit Zugriffsrechien zu be- 
schranken; und 

Mittel zum Aktualisieren der Aufzeichnung fiir jeden 
Computer, der von einer Zugnffsanderung in einer 
Nachweisliste beu-offen ist. 

12. Ein computerles barer Speicher zum Speichem der 
Instruktiorren zur Verwendung bei der Ausfiihrung des 
Verfahrens nach Anspruch 10 auf einem Computer. 
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